MAST (Mobile App Security Test) — 모바일 앱 취약점 점검 자동화 솔루션 기획

Stealien의 신규 개념 검증(PoC) 제품 ‘모바일 앱 취약점 점검 자동화 솔루션(MAST)‘을 1인으로 기획했습니다. 구상부터 경쟁 분석, 일정 산정까지 전 과정을 혼자 끌고 간 트랙입니다.

배경·과제

• AppSuit 제품군은 이미 배포된 앱에 보호를 입히는 ‘처방’ 포지션이라, 그 앞단에서 자사 앱의 취약점을 미리 점검하려는 ‘점검’ 수요는 비어 있는 시장이었습니다.

• 취약점 진단 결과를 AppSuit 도입으로 자연스럽게 잇는 ‘점검 → 처방’ 파이프라인도 없었습니다.

• 국내 점검·평가 기준인 금융보안원 모바일 앱 평가 항목(19개 + 상세 시나리오)을 충족하는 자동 진단 도구가 필요했습니다.

수행·기여

• 제품 구상, 설계, 경쟁 분석, 일정 산정을 1인으로 작성해 팀 공유본으로 동기화했고, 기능별 일정 산정 워크시트까지 만들었습니다.

• 제공 방식은 투트랙으로 설계했습니다. 자동화 파이프라인·CI 통합용 명령줄 도구(CLI, Python/JS)와 비개발자 실무자용 그래픽 화면(GUI, macOS·Windows, Swift+JS)입니다.

• 입출력도 정의했습니다. 입력은 Development 서명된 IPA, 출력은 매트릭스·상세·샘플 화면이 담긴 진단 보고서입니다.

• 진단 기술 스택은 네 개 축의 결합으로 구성했습니다.

  • 정적 분석(SAST)은 Mach-O 파싱과 기존 사내 노하우를 재활용합니다.

  • 동적 분석(DAST)은 탈옥 단말에서 attach·hook을 수행해 결과를 수집합니다.

  • 입력 변조 시험은 Deeplink·URL scheme 파라미터를 조작해 결함을 유도하는 fuzzing입니다.

  • 디바이스 제어는 libimobiledevice로 설치와 로그 수집을 처리합니다.

• 금융보안원 19개 항목을 분류·항목명·평가 설명·검증 절차·자동화 가능 여부의 5속성으로 구조화하고, 항목별 자동화 가능성을 판정했습니다.

• ‘금보원 평가 항목 → 경쟁 제품 기능 → MAST 기능’의 3열 대응으로 경쟁 제품 대비 매트릭스를 만들고, 자동/수동 검사 구분도 같은 구조로 설계했습니다.

• GUI 플로우는 IPA를 끌어다 놓으면 시나리오별 pass/fail이 실시간 표시되고, 보고서 출력 후 ‘AppSuit 옵션으로 보호 가능’을 교차 제안하는 흐름으로 잡았습니다.

성과

• 금융보안원 19개 평가 항목 매핑과 자체 추가 시나리오, 경쟁 제품 대비 기능 매트릭스, GUI/CLI 제공 방식, 제품화 약 6개월 일정 산정까지 기획 전 과정을 혼자 완성했습니다.

• 진단 결과를 AppSuit 보호 제안으로 잇는 업셀링 파이프라인을 구상해, 점검 자체의 영업 자산 가치와 AppSuit 판매 연결이라는 이중 가치를 설계에 담았습니다.

• 동적 탐지 기술 대부분을 사내 기존 자산으로 재사용할 수 있게 설계해, 착수 시 개발 비용을 줄일 근거를 확보했습니다.

• 2025년 하반기 착수 계획이었지만 Premium·AppSuit Air 우선순위에 밀려 보류됐고, 2026년 Premium 안정화와 AiSuit PoC 완료 이후 재검토 대상으로 남아 있습니다. 금보원 항목 구조화, 경쟁 분석 매트릭스, 제공 방식 권고안은 재사용 가능한 자산으로 확보해 두었습니다.